Что требует закон?

Закон вступил в силу 7 июня 2006 года и требует, чтобы каждый оператор выполнил требования статей 18.1 и 19 закона путем разработки внутренних организационно-распорядительных документов (ОРД) и защиты компьютерных систем организации, в которых обрабатываются персональные данные (смотрите статью техническая подготовка).

Что конкретно должно содержаться в ОРД по статьям 18.1 и 19 закона?

На первый взгляд все просто. Кажется, что, открыв указанные статьи закона, можно с легкостью их проанализировать и разработать требуемый пакет ОРД. Но не тут-то было. Формулировки закона достаточно общие, и, не имея опыта реализации закона, понять, какие же ОРД нужно разработать по тому или иному пункту закона, практически невозможно.

Многие операторы в итоге разрабатывают всего лишь 3-5 документов, считая, что требования закона они выполнили и к проверке Роскомнадзора готовы.

Только эксперты рынка информационной безопасности, принимавшие участие в рассмотрении законопроекта о персональных данных и изменений к нему, а также имеющие многолетний опыт работы в области защиты информации, знают, что в действительности скрывается под той или иной формулировкой, и могут точно сказать, какой конкретно документ необходимо разработать по тому или иному пункту закона. В итоге по статьям 18.1 и 19 закона необходимо разработать около 40 документов!

Какие документы необходимо разработать по 152-ФЗ?

На основе экспертного анализа и практики прохождения проверок Роскомнадзора был составлен перечень документов, которые требуются в соответствии со статьями 18.1 и 19 закона:

Внимание: указанный выше перечень документов не является достаточным для полноценного соответствия 152-ФЗ, так как также нужно выполнять другие пункты закона и подзаконных нормативно-правовых актов в области персональных данных.

Камни преткновения

Со следующими проблемами сталкиваются большинство операторов при реализации требований закона:

  1. Не имея опыта, не знают, как трактовать то или иное требование закона и какой конкретно документ нужно разработать.
  2. Не знают подзаконные нормативно-правовые акты, которые нужно выполнять и которые требуют разработку дополнительных ОРД.
  3. Не знают, какие дополнительные документы запрашивает Роскомнадзор на выездной проверке, и, пытаясь угадать, делают лишнюю работу.

Лайфхак по правильной подготовке по 152-ФЗ

Чтобы правильно подготовиться по 152-ФЗ, необходимо собрать волю в кулак и учесть следующее:

Подзаконные нормативно-правовые акты по персональным данным

Чтобы соответствовать 152-ФЗ полноценно, нужно, помимо статей 18.1 и 19 закона, также учитывать требования следующих подзаконных нормативно-правовых актов:

Подготовка по 152-ФЗ: цена вопроса

Трудоемкость подготовки организации по 152-ФЗ в первую очередь зависит от масштаба организации, количества ее контрагентов, а также от количества и категорий обрабатываемых персональных данных. Чем всего указанного больше – тем дороже.

Стоимость правовой подготовки организации (разработка полного пакета ОРД применительно к конкретной организации), как правило, составляет от 300 тысяч до 3 миллионов. Для микробизнеса — 300 – 800 тысяч, для среднего бизнеса — 1 – 2 миллиона, а для крупного — 2 – 3 миллиона.

В указанную стоимость не входит техническая подготовка информационных систем персональных данных, т.е. защита и аттестация компьютерных систем. Методология технической подготовки регламентирована ФСТЭК России и отличается от методологии правовой подготовки. Защита компьютерных систем обычно выделяется в отдельный проект с отдельным бюджетом и занимает достаточно продолжительное время. Поэтому правовую подготовку лучше проводить отдельно.

Скачать коммерческое предложение на правовую подготовку оператора в соответствии с 152-ФЗ
СКАЧАТЬ PDF

Что предлагаем мы?

Мы предлагаем вам правовую подготовку по 152-ФЗ с разработкой полноценного пакета организационно-распорядительной документации, необходимой для соответствия требованиям 152-ФЗ и прохождения проверки Роскомнадзора, с гарантией по договору.